European Cyber Security Month 2019
Sicherheits-Faktor Mensch
Amateure hacken Systeme, Profis hacken Menschen
– dieser Satz stammt vom Security-Experten Bruce Schneier und gilt heute mehr denn je. IT-Sicherheit betrifft jeden Mitarbeiter und jede Abteilung im Unternehmen – vom Werkstudenten in der Buchhaltung über die Lageristen bis zur Geschäftsführung. Immer mehr Unternehmen haben bereits das Bewusstsein entwickelt, dass IT-Sicherheit nicht allein durch technische Maßnahmen zu erreichen ist – geschultes Personal trägt ebenfalls einen großen Beitrag zum Schutz vor Cyber-Angriffen bei.
Führen Sie daher regelmäßige Sensibilisierungen und Schulungen mit dem Ziel durch, den Mitarbeitenden die notwendige Kompetenz, aber insbesondere das entscheidende Selbstverständnis zu vermitteln: Sie sind nicht das Problem für die IT-Sicherheit des Unternehmens. Sie tragen Verantwortung und leisten einen wichtigen Beitrag. Da Cyber-Kriminelle geschickt technische Angriffe und Social Engineering kombinieren, leistet die menschliche Awareness einen sehr großen Anteil zum Schutz von Unternehmen.
Mit diesen drei Tipps trainieren Sie den sicheren Umgang mit IT effektiv und nachhaltig:
1. Sprechen Sie beim Thema IT-Awareness die Sprache Ihrer Mitarbeiter – nicht jeder verfügt über dasselbe technische Grundverständnis. Die internen Schulungs- und Awareness Maßnahmen sollten weder über- noch unterfordern. Holen Sie alle Mitarbeiter bei der Problematik ab, erklären Sie Ihnen in einfacher Sprache und anhand praktischer Beispiele, welchen konkreten Bedrohungen wie CEO-Fraud oder Ransomware das eigene Unternehmen ausgesetzt ist und welche Folgen für das Unternehmen möglicherweise entstehen.
2. Geben Sie Ihren Mitarbeitern das gute Gefühl, dass eine Anfrage an die IT-Abteilung zu einer verdächtigen E-Mail keinen zusätzlichen Aufwand verursacht, sondern genau das Richtige ist. Lassen Sie z.B. die Mitarbeiter in der Buchhaltung wissen, dass Sie bei einer fragwürdigen Zahlungsaufforderung jederzeit bei der Geschäftsleitung nachfragen dürfen. Passen Sie im Unternehmen Ihre Prozesse an, so dass jeder stets weiß, an wen er sich ohne Bedenken per E-Mail, per Messenger oder per Telefon wenden kann.
3. Awareness-Maßnahmen sind besonders erfolgreich, wenn Sie praxisnah und somit für den Mitarbeiter auch greifbar sind. Zeigen Sie Ihren Mitarbeitern echte E-Mails, die bei Ihnen im Unternehmen aufgeschlagen sind. Ein Gamification-Ansatz, z.B. als Escape Room oder Quiz, bringt Ihren Mitarbeitern die Themen IT-Sicherheit und Awareness spielerisch nahe; mit einer Phishing-Simulation wiederum schulen Sie die Augen Ihrer Mitarbeiter, um verdächtige E-Mails selbst erkennen zu können.